公司網(wǎng)絡(luò)安全措施精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的公司網(wǎng)絡(luò)安全措施主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：公司網(wǎng)絡(luò)安全措施范文

關(guān)鍵詞:網(wǎng)絡(luò)安全 技術(shù)

計(jì)算機(jī)和信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全也伴隨著信息技術(shù)同步發(fā)展起來的。隨著網(wǎng)絡(luò)應(yīng)用的不斷增多,網(wǎng)絡(luò)安全問題日益突出,已被信息社會的各個領(lǐng)域所重視,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。

一、網(wǎng)絡(luò)安全的重要性

計(jì)算機(jī)安全是互聯(lián)網(wǎng)的一個根本技術(shù),它起源于純粹學(xué)術(shù)上的好奇心,發(fā)展到現(xiàn)在已經(jīng)演變成為一個十分重要的商業(yè)應(yīng)用。在互聯(lián)網(wǎng)上,任何企業(yè)或個人都無法忽略對安全的需求。網(wǎng)絡(luò)上貿(mào)易機(jī)密、客戶資料、金錢等被竊取的風(fēng)險是真實(shí)存在的。由計(jì)算機(jī)安問題所造成的損失也可能是相當(dāng)巨大的。例如ILOVEYOU病毒,據(jù)不完全統(tǒng)計(jì),它在全球范圍內(nèi)造成的損失已高達(dá)100億美元;其中生產(chǎn)上的損失占了絕大部分,同時它帶來了其它間接的影響:顧客的流失、品牌和商譽(yù)上的損害,這些都是難以進(jìn)行估計(jì)的。除此之外,新的問題將接踵而至。因?yàn)闅W洲的國家都有嚴(yán)格的隱私法:如果公司或企業(yè)不采取相關(guān)措施來保護(hù)客戶的隱私,他們將被追究法律責(zé)任。雖然在互聯(lián)網(wǎng)上進(jìn)行業(yè)務(wù)的同時伴隨著如此大的風(fēng)險,但是公司和企業(yè)并不會停止去利用這個平臺。因?yàn)?a href="http://m.coffee125.com/haowen/143899.html" target="_blank">網(wǎng)絡(luò)能給企業(yè)帶來新的市場,新的客戶,新的收入來源,甚至新的商業(yè)模式。這是具有相當(dāng)巨大的誘惑力的,所以即便是存在這樣的風(fēng)險性,他們也會不斷地在這個互聯(lián)網(wǎng)環(huán)境里拓展自己的業(yè)務(wù)。正因如此,比起其它問題,計(jì)算機(jī)安全更加顯得重要。

二、網(wǎng)絡(luò)系統(tǒng)存在的主要問題

1、網(wǎng)絡(luò)操作系統(tǒng)的漏洞

網(wǎng)絡(luò)操作系統(tǒng)足網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。而且快速的軟件升級周期,會造成問題軟件的出現(xiàn),經(jīng)常會出現(xiàn)操作系統(tǒng)存在新的攻擊漏洞。

2、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷

網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會成為網(wǎng)絡(luò)的安全威脅。

3、計(jì)算機(jī)病毒

計(jì)算機(jī)病毒,簡單來講,其實(shí)就是一種可執(zhí)行的計(jì)算機(jī)程序。和生物界的病毒類似,會尋找寄主將自身附著到寄主身上。除了自我復(fù)制外,某些病毒被設(shè)計(jì)成為具有毀壞程序、刪除文件甚至重新格式化硬盤的能力。在網(wǎng)絡(luò)中,病毒對計(jì)算機(jī)的安全構(gòu)成極大威脅:與網(wǎng)絡(luò)黑客內(nèi)外配合。竊取用戶口令及帳號等變化多端的方式。使企業(yè)網(wǎng)絡(luò)無時無刻不面對病毒困擾。這也就是必須使計(jì)算機(jī)具備預(yù)防、檢查和清除病毒能力的根本所在。病毒最成功之處在于其傳播能力,傳播能力越強(qiáng),生存的機(jī)率就越大。當(dāng)計(jì)算機(jī)病毒附著或感染某個文件或系統(tǒng)中的某個部分之后,就會傳播給臨近的項(xiàng)目。

三、加強(qiáng)網(wǎng)絡(luò)安全防范技術(shù)

1、應(yīng)用數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是為了提高信息系統(tǒng)與數(shù)據(jù)的安全性和保密性,防止機(jī)密數(shù)據(jù)被非法破譯而采用的主要技術(shù)手段之一。目前常用的加密技術(shù)分為對稱加密技術(shù)和非對稱加密技術(shù)。信息加密過程是由加密算法來實(shí)現(xiàn)的,兩種加密技術(shù)所對應(yīng)的算法分別是常規(guī)密碼算法和公鑰密碼算法。

2、配置防火墻

所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,它實(shí)際上是一種隔離技術(shù),是一種由軟件、硬件構(gòu)成的系統(tǒng),用來在兩個網(wǎng)絡(luò)之間實(shí)施接入控制策略。防火墻的功能有兩個:一個“允許”,另一個是“阻止”。允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止非法用戶的訪問,防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

3、網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施

防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò),必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措拖。按照級別從低到高,分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全:同時主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線,用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機(jī)安全措施之后,是全局性的由系統(tǒng)安全審計(jì)、入侵檢測和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息,作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生,如果有入侵發(fā)生,則啟動應(yīng)急處理措施,并產(chǎn)生警告信息。而且,系統(tǒng)的安全審計(jì)還可以作為以后對攻擊行為和后果進(jìn)行處理、對系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

4、加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識

很多計(jì)算機(jī)系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問,這是防病毒進(jìn)程中,最容易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限,選擇不同的口令,對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)上,軟件的安裝和管理方式是十分關(guān)鍵的,它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量,而且涉及到網(wǎng)絡(luò)的安全性。當(dāng)計(jì)算機(jī)病毒對網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時.這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上,因此就要在網(wǎng)關(guān)上設(shè)防,在網(wǎng)絡(luò)前端進(jìn)行殺毒。

總之,網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,也是一個安全管理問題。必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等,做好計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施。

參考文獻(xiàn):

[1]陳斌.計(jì)算機(jī)網(wǎng)絡(luò)安全防御.成都:信息技術(shù)與網(wǎng)絡(luò)服務(wù),2006

第2篇：公司網(wǎng)絡(luò)安全措施范文

計(jì)算機(jī)信息系統(tǒng)安全是一個動態(tài)過程。美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）對此提出P2DR模型，其關(guān)鍵是Policy（策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）四方面。按照P2DR的觀點(diǎn)，完整的動態(tài)安全體系需要防護(hù)措施（如網(wǎng)絡(luò)或單機(jī)防火墻、文件加密、身份認(rèn)證、操作系統(tǒng)訪問控制、數(shù)據(jù)庫系統(tǒng)訪問控制等）、動態(tài)檢測機(jī)制（入侵檢測、漏洞掃描等）、先進(jìn)的資源管理系統(tǒng)（及時發(fā)現(xiàn)問題并做出響應(yīng)）。

中國石油按照信息安全P2DR模型制定的信息安全系統(tǒng)體系結(jié)構(gòu)包括安全運(yùn)行中心、網(wǎng)絡(luò)邊界管理系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制、網(wǎng)絡(luò)管理系統(tǒng)、病毒監(jiān)控與升級管理系統(tǒng)、系統(tǒng)加固與監(jiān)控管理系統(tǒng)、CA認(rèn)證中心、密鑰管理與分發(fā)系統(tǒng)、數(shù)據(jù)庫防護(hù)系統(tǒng)、容災(zāi)系統(tǒng)、內(nèi)容訪問監(jiān)控系統(tǒng)和電子郵件監(jiān)控系統(tǒng)。

中國石油廣域網(wǎng)安全基礎(chǔ)設(shè)施

防火墻系統(tǒng)

中國石油廣域網(wǎng)十分龐大，下屬單位很多，遍布全國，連通世界上很多國家的分支企業(yè)。因此需要在網(wǎng)絡(luò)各個相連處部署強(qiáng)力防火墻，確保網(wǎng)絡(luò)的安全性。另外，在區(qū)域網(wǎng)絡(luò)中心的服務(wù)器群前，加兩臺防火墻，以負(fù)載均衡方式，用千兆光纖連接到區(qū)域網(wǎng)絡(luò)中心路由器上。在兩臺防火墻都正常工作情況下，可以提供約兩倍于單臺設(shè)備的性能，即約4Gbps的防火墻吞吐量，當(dāng)一臺防火墻出現(xiàn)故障時，另一臺防火墻保證網(wǎng)絡(luò)不間斷運(yùn)行，保障服務(wù)器群的高可用性。

利用防火墻技術(shù)，能在內(nèi)外網(wǎng)之間提供安全保護(hù); 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進(jìn)行襲擊; 網(wǎng)絡(luò)結(jié)構(gòu)改變有時會造成防火墻安全策略失效，攻擊者可以繞防火墻實(shí)施攻擊; 入侵者可能來自防火墻內(nèi)部; 防火墻可能不能提供實(shí)時入侵檢測。

入侵檢測系統(tǒng)

入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)和基于主機(jī)兩種類型?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)對所在網(wǎng)段的IP數(shù)據(jù)包進(jìn)行分析監(jiān)測，實(shí)時發(fā)現(xiàn)和跟蹤有威脅或隱患的網(wǎng)絡(luò)行為?；谥鳈C(jī)的入侵檢測系統(tǒng)安裝在需要保護(hù)的主機(jī)上，為關(guān)鍵服務(wù)提供實(shí)時保護(hù)。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法闖入和異常進(jìn)程，能實(shí)時檢測出攻擊，并做出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報(bào)、記錄入侵過程等動作。

入侵檢測在網(wǎng)絡(luò)中設(shè)置關(guān)鍵點(diǎn)，收集信息，并加以分析，查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門，對內(nèi)外攻擊和誤操作提供實(shí)時保護(hù)，又不影響網(wǎng)絡(luò)性能。其具體功能如下: 監(jiān)視、分析用戶及系統(tǒng)活動; 系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì); 識別已知進(jìn)攻的活動模式并向相關(guān)人員報(bào)警; 異常行為模式的統(tǒng)計(jì)分析; 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。

中國石油12個區(qū)域網(wǎng)絡(luò)中心，均配備入侵檢測系統(tǒng)，監(jiān)控內(nèi)外網(wǎng)入侵行為。

漏洞掃描系統(tǒng)

漏洞掃描是自動檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)。它查詢TCP/IP端口，并記錄目標(biāo)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息，例如正在進(jìn)行的服務(wù)、擁有這些服務(wù)的用戶是否支持不記名登錄、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。

漏洞掃描系統(tǒng)可安裝在便攜機(jī)中，在網(wǎng)絡(luò)比較空閑時檢測。檢測方式可本地可遠(yuǎn)程; 可臨時檢測某網(wǎng)段，也可固定檢測某網(wǎng)段，但是檢測范圍不可跨越防火墻。

查殺病毒系統(tǒng)

中國石油網(wǎng)絡(luò)上各個局域網(wǎng)普遍設(shè)立查殺病毒軟件服務(wù)器，不斷更新殺毒軟件，及時向用戶機(jī)下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。

網(wǎng)絡(luò)安全策略管理

中國石油全網(wǎng)提供統(tǒng)一安全策略，各級分別部署，從而提高全網(wǎng)整體安全。

企業(yè)網(wǎng)絡(luò)安全策略分為四個方面:檢測評估、體系結(jié)構(gòu)、管理措施和網(wǎng)絡(luò)標(biāo)準(zhǔn)，并構(gòu)成動態(tài)循環(huán)系統(tǒng)（圖1）。安全檢測與評估隨著安全標(biāo)準(zhǔn)的提高而改進(jìn)，評估結(jié)果是網(wǎng)絡(luò)體系結(jié)構(gòu)的完善的依據(jù)，安全策略管理必須隨之改進(jìn)與增強(qiáng); 技術(shù)的進(jìn)步和網(wǎng)絡(luò)安全要求的提高，促使網(wǎng)絡(luò)標(biāo)準(zhǔn)的完善與改進(jìn)。

網(wǎng)絡(luò)安全檢測與評估涉及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用軟件、專業(yè)軟件、數(shù)據(jù)庫、電子商務(wù)、Web網(wǎng)站、電子郵件等。安全體系結(jié)構(gòu)涉及物理、場地、環(huán)境、訪問控制、數(shù)據(jù)傳輸與保存、路由控制。安全管理措施涉及網(wǎng)絡(luò)設(shè)備、軟件、密鑰。

路由器和交換機(jī)策略管理是上述安全管理措施中的重要方面。它們的策略維護(hù)通過訪問控制列表（ACL）實(shí)現(xiàn)。這種工作容易出錯，因而應(yīng)采用專用工具軟件集中管理。所采用的管理軟件有管理設(shè)備ACL的WEB接口，通過這個接口對IP過濾列表進(jìn)行編輯及下載，簡化了管理工作量，實(shí)現(xiàn)了大型網(wǎng)絡(luò)路由器和交換機(jī)上策略參數(shù)的集中管理。

分系統(tǒng)設(shè)計(jì)

除了上述基礎(chǔ)設(shè)施外，還必須有屬于“上層建筑”安全措施。這便是分系統(tǒng)設(shè)計(jì)。

安全運(yùn)行中心

中國石油信息系統(tǒng)地域分散、規(guī)模龐大，與多個業(yè)務(wù)系統(tǒng)耦合性很強(qiáng)，如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一管理平臺，實(shí)現(xiàn)安全事件全局分析和動態(tài)監(jiān)控，是中國石油廣域網(wǎng)面臨的主要問題。

建立安全運(yùn)行中心，實(shí)現(xiàn)對全網(wǎng)安全狀況的集中監(jiān)測、安全策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類安全事件，并處理各種安全突發(fā)事件。安全運(yùn)行中心不僅可以將不同類型安全產(chǎn)品實(shí)現(xiàn)統(tǒng)一管理，還可以將網(wǎng)絡(luò)中不同位置、不同系統(tǒng)中單一安全事件進(jìn)行收集、過濾、關(guān)聯(lián)分析，得出網(wǎng)絡(luò)全局風(fēng)險事件集，提供安全趨勢報(bào)告，并通過遠(yuǎn)程狀態(tài)監(jiān)控、遠(yuǎn)程分發(fā)、實(shí)現(xiàn)快速響應(yīng)，有效控制風(fēng)險事件。

安全運(yùn)行中心功能模塊包括安全配置模塊、網(wǎng)絡(luò)監(jiān)控模塊、內(nèi)容監(jiān)管模塊、安全事件與預(yù)警模塊以及應(yīng)急響應(yīng)模塊，具體功能模塊如圖2所示。下邊介紹幾種主要功能。

（1）安全配置管理

包括防火墻、入侵檢測、VPN等安全系統(tǒng)的安全規(guī)則、選項(xiàng)和配置，各種操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用等系統(tǒng)配置的安全設(shè)置、加固和優(yōu)化措施。可實(shí)現(xiàn)策略創(chuàng)建、更新、、學(xué)習(xí)和查詢。

（2）網(wǎng)絡(luò)監(jiān)控

模塊可提供對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)拓?fù)洹⒎?wù)器、應(yīng)用系統(tǒng)運(yùn)行情況的可視化監(jiān)控，確定某個安全事件是否會發(fā)生，事件類型、影響程度和范圍。預(yù)警: 對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、服務(wù)器、數(shù)據(jù)庫系統(tǒng)日志信息的收集、集中存儲、分析、管理，及時發(fā)現(xiàn)安全事件，并做出相應(yīng)預(yù)警。

（3）內(nèi)容監(jiān)管

內(nèi)容監(jiān)控、內(nèi)容訪問監(jiān)控以及內(nèi)容傳播監(jiān)控。

中國石油信息安全系統(tǒng)安全運(yùn)行中心由總部、區(qū)域中心、地區(qū)公司三級結(jié)構(gòu)組成。

總部級: 制定統(tǒng)一安全配置，收集所有匯總上來的數(shù)據(jù)，并對其進(jìn)行統(tǒng)一分析、管理。通過這種逐級逐層多級化模式管理，達(dá)到對信息安全全方位防御的目的。

區(qū)域中心級: 執(zhí)行對管轄范圍內(nèi)所有地區(qū)公司安全運(yùn)行中心的監(jiān)控，也可監(jiān)控區(qū)域內(nèi)的網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全等，并向總部安全運(yùn)行中心上報(bào)相關(guān)數(shù)據(jù)。

地區(qū)公司級: 部署總部的統(tǒng)一安全配置，監(jiān)控地區(qū)公司內(nèi)部網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)安全等，收集分析安全事件并做出及時響應(yīng)，生成分析報(bào)告，定期向區(qū)域中心匯總。

網(wǎng)絡(luò)邊界管理系統(tǒng)

中國石油網(wǎng)絡(luò)按照其應(yīng)用性質(zhì)的不同和安全要求的不同，劃分為不同的安全域。整個網(wǎng)絡(luò)安全符合木桶原則: 最低木板決定木桶裝水量; 網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)決定整個網(wǎng)絡(luò)的安全性。

由于網(wǎng)絡(luò)中不可控制的接入點(diǎn)比較多，導(dǎo)致全網(wǎng)受攻擊點(diǎn)明顯增多。通過網(wǎng)絡(luò)邊界管理系統(tǒng)可以最大限度保護(hù)內(nèi)部業(yè)務(wù)數(shù)據(jù)的安全，其中重點(diǎn)保護(hù)與Internet直接連接的區(qū)域。

按照業(yè)務(wù)不同的安全程度要求，中國石油各個企業(yè)網(wǎng)絡(luò)劃分若干安全區(qū)域:

（1）業(yè)務(wù)區(qū)域: 企業(yè)重要信息集中在此，這里有核心數(shù)據(jù)庫，可與相關(guān)單位交換信息。

（2）生產(chǎn)區(qū)域: 主要指各煉化企業(yè)的生產(chǎn)網(wǎng)絡(luò)，實(shí)現(xiàn)生產(chǎn)在線監(jiān)控和管理信息的傳遞。

（3）辦公區(qū)域: 各單位的辦公網(wǎng)，用戶訪問企業(yè)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、收發(fā)電子郵件等。

（4）對外服務(wù)區(qū): 通過因特網(wǎng)對外信息和進(jìn)行電子商務(wù)的區(qū)域，該區(qū)域日趨重要。

（5）因特網(wǎng)接入?yún)^(qū): 因特網(wǎng)瀏覽信息、對外交流的窗口，最易受攻擊，要重點(diǎn)保護(hù)。

通過邊界管理系統(tǒng)在中國石油各局域網(wǎng)邊界實(shí)施邊界管理，在內(nèi)部部署入侵檢測系統(tǒng)實(shí)施全面安全保護(hù)，并在對外連接處和必要的部位部署防火墻進(jìn)行隔離。

通過入侵檢測系統(tǒng)和防火墻聯(lián)動，可以對攻擊行為實(shí)時阻斷，提高安全防護(hù)的有效性。

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

中國石油網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)分四部分: 策略服務(wù)器、客戶端平臺、聯(lián)動設(shè)備和第三方服務(wù)器（圖3）。

（1）安全策略服務(wù)器: 它是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的管理與控制中心，實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計(jì)等功能。

（2）安全客戶端平臺: 它是安裝在用戶終端系統(tǒng)上的軟件，可集成各種安全產(chǎn)品插件，對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及實(shí)施網(wǎng)絡(luò)安全策略。

（3）安全聯(lián)動設(shè)備: 它是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全管理系統(tǒng)管理平臺作為安全策略服務(wù)器，提供標(biāo)準(zhǔn)協(xié)議接口，支持同交換機(jī)、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動。

（4）第三方服務(wù)器: 為病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品，通過安全策略的設(shè)置實(shí)施，實(shí)現(xiàn)安全產(chǎn)品功能的整合。

鏈接

中國石油廣域網(wǎng)安全設(shè)計(jì)原則

在中石油廣域網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)中應(yīng)遵循以下設(shè)計(jì)原則:

高度安全與良好性能兼顧: 安全與性能相互矛盾，安全程度越高，性能越受影響。任何事物沒有絕對安全，也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統(tǒng)設(shè)計(jì)中，對不同安全程度要求，采用不同安全措施，從而保證系統(tǒng)既有高度安全保障，又有良好系統(tǒng)性能。所謂高度安全，指實(shí)現(xiàn)的安全措施達(dá)到信息安全級別的要求，對關(guān)鍵信息可以再高一個級別。

全方位、均衡性和層次性: 全方位、均衡性安全設(shè)計(jì)保證消除網(wǎng)絡(luò)中的漏洞、后門或薄弱環(huán)節(jié); 層次性設(shè)計(jì)保證當(dāng)網(wǎng)絡(luò)中某個安全屏障（如防火墻）被突破后，網(wǎng)絡(luò)仍受到其他安全措施（如第二道防火墻）的保護(hù)。

主動和被動相結(jié)合: 主動對系統(tǒng)中安全漏洞進(jìn)行檢測，及時消除安全隱患; 被動實(shí)施安全策略，如防火墻措施、ACL措施等等。兩者完美結(jié)合，有效實(shí)現(xiàn)安全。

切合實(shí)際: 有的放矢、行之有效，避免措施過度導(dǎo)致性能不應(yīng)有的下降。

易于實(shí)施、管理與維護(hù)。

第3篇：公司網(wǎng)絡(luò)安全措施范文

本文主要針對公司目前存在的典型網(wǎng)絡(luò)安全問題進(jìn)行分析研究，實(shí)施相應(yīng)的安全策略，找出相應(yīng)的解決措施。由于目前企業(yè)規(guī)模不斷擴(kuò)大，員工全部采用網(wǎng)上辦公，每位員工都有自己獨(dú)立的計(jì)算機(jī)，因此在考慮安全措施時必須考慮到網(wǎng)絡(luò)規(guī)模并能管理到每個節(jié)點(diǎn)。通過一系列安全策略和安全措施的實(shí)施，有效提高公司網(wǎng)絡(luò)系統(tǒng)的安全性，保證企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行。

一、網(wǎng)絡(luò)發(fā)展與安全現(xiàn)狀

目前我們許多數(shù)據(jù)的存儲和傳輸以及許多業(yè)務(wù)的交易都是通過網(wǎng)絡(luò)進(jìn)行的，因此網(wǎng)絡(luò)系統(tǒng)的安全非常重要。許多地區(qū)都出現(xiàn)了基于網(wǎng)絡(luò)的犯罪行為，黑客攻擊，數(shù)據(jù)資料泄密，病毒破壞等己經(jīng)成為制約網(wǎng)絡(luò)發(fā)展的重要因素。國內(nèi)外都開展了許多基于網(wǎng)絡(luò)安全的研究工作，如防火墻技術(shù)、防病毒技術(shù)、入侵檢測技術(shù)等，并推出了許多基于網(wǎng)絡(luò)安全的產(chǎn)品。

隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，對網(wǎng)絡(luò)安全的要求不斷提高，同時許多破壞網(wǎng)絡(luò)安全的手段也越來越高明，這就要求我們不斷應(yīng)用新的網(wǎng)絡(luò)安全技術(shù)，進(jìn)一步提高網(wǎng)絡(luò)的安全性。

我公司網(wǎng)絡(luò)系統(tǒng)規(guī)模較大，各類應(yīng)用服務(wù)器集中存放在中央機(jī)房中。公司應(yīng)用系統(tǒng)主要包括網(wǎng)站系統(tǒng)、辦公自動化、電子郵件系統(tǒng)、各類WEB應(yīng)用軟件、視頻會議等。公司每位員工基本都配有計(jì)算機(jī)，所有工作基本都通過網(wǎng)絡(luò)進(jìn)行，因此公司網(wǎng)絡(luò)具有使用人數(shù)多，網(wǎng)絡(luò)流量大等特點(diǎn)，這也對網(wǎng)絡(luò)的安全性提出了較高的要求。

1.網(wǎng)絡(luò)系統(tǒng)存在的安全威脅和隱患問題

現(xiàn)有的系統(tǒng)主要存在下面的問題:

①弱口令造成信息泄露的威脅

由于公司應(yīng)用系統(tǒng)較多，員工要設(shè)置各類賬戶的密碼，非常繁瑣，而且不便于記憶，因此許多員工將密碼設(shè)置為簡單密碼，并且長期不對密碼進(jìn)行更改。這樣容易產(chǎn)生信息泄露問題，一些攻擊者會竊取密碼，非法進(jìn)入系統(tǒng)獲取系統(tǒng)資料。如果重要資料被竊取，將會產(chǎn)生嚴(yán)重后果。

②病毒傳播造成網(wǎng)路和系統(tǒng)癱瘓

公司員工數(shù)量較多，絕大多數(shù)員工都配有單獨(dú)使用的計(jì)算機(jī)，并且大多數(shù)計(jì)算機(jī)都可以訪問互聯(lián)網(wǎng)。員工根據(jù)自己的情況自行安裝防病毒系統(tǒng)，由于員工對病毒預(yù)防知識和防病毒軟件的使用方法掌握情況不同，部分員工不能夠正確使用防病毒系統(tǒng)，不能夠保證防病毒代碼和病毒庫的及時更新，因此容易造成計(jì)算機(jī)感染病毒。由于整個網(wǎng)絡(luò)系統(tǒng)非常龐大，缺乏對網(wǎng)絡(luò)的統(tǒng)一監(jiān)控，計(jì)算機(jī)感染病毒后，不能夠及時有效地處理，因此造成病毒在網(wǎng)絡(luò)中傳播，當(dāng)感染病毒的機(jī)器增多后，會引起部分網(wǎng)絡(luò)或者整個網(wǎng)絡(luò)速度急劇下降甚至癱瘓，造成許多員工無法正常上網(wǎng)。部分員工的計(jì)算機(jī)由于感染病毒而無法正常工作，有些計(jì)算機(jī)還出現(xiàn)計(jì)算機(jī)數(shù)據(jù)丟失等問題，嚴(yán)重影響公司員工正常工作。另外感染病毒的員工因重裝系統(tǒng)而占用許多工作時間，影響工作的正常進(jìn)行。

③沒有劃分VLAN，缺乏抵御網(wǎng)絡(luò)風(fēng)暴的能力

公司網(wǎng)絡(luò)系統(tǒng)龐大，眾多計(jì)算機(jī)都在同一網(wǎng)段上，系統(tǒng)沒有劃分VLAN，使網(wǎng)絡(luò)中某一點(diǎn)出現(xiàn)故障就會影響一片，甚至“席卷”整個網(wǎng)絡(luò)，產(chǎn)生廣播風(fēng)暴，使網(wǎng)絡(luò)癱瘓。另外整個龐大的網(wǎng)絡(luò)由于沒有劃分VLAN，所有計(jì)算機(jī)之間都可以互相訪問，因此計(jì)算機(jī)容易受到其他計(jì)算機(jī)的攻擊，并且容易泄露系統(tǒng)中的重要信息。如果重要的商業(yè)信息被泄露，將會對公司造成損失，產(chǎn)生嚴(yán)重后果。

④信息傳輸安全性無法保障

隨著企業(yè)信息化的發(fā)展，電子郵件已經(jīng)成為公司業(yè)務(wù)洽談必不可少的信息交流溝通手段。但是隨著電子郵件的應(yīng)用日益廣泛，隨之帶來的安全問題也日益嚴(yán)重。由于電子郵件傳輸協(xié)議(SMTP)是建立在TCP協(xié)議基礎(chǔ)上的，沒有任何安全性的保證;電子郵件以明文的形式在網(wǎng)絡(luò)中傳輸，所以極易被心懷叵測的人截取、查看。這些問題對于公司的核心部門的人員尤其突出，由于他們之間往來的電子郵件往往涉及到公司的機(jī)密信息，如果造成失密事件，后果不堪設(shè)想。公司許多商務(wù)往來和市場運(yùn)作等信息都通過網(wǎng)站向外，但網(wǎng)站信息以明文的方式傳輸，在傳輸過程中容易被第三方截獲。公司重要信息如果被泄漏，將會對公司業(yè)務(wù)造成嚴(yán)重?fù)p失。

⑤客戶端用戶操作系統(tǒng)存在漏洞等安全隱患

許多用戶在安裝操作系統(tǒng)后，不能夠及時安裝操作系統(tǒng)和各類軟件的補(bǔ)丁程序，造成系統(tǒng)存在各種漏洞，引發(fā)各類網(wǎng)絡(luò)安全問題。微軟每月都會安全漏洞補(bǔ)丁程序，公司內(nèi)員工數(shù)量較多，部分員工安全意識薄弱，對系統(tǒng)安全知識欠缺，不能夠及時安裝微軟操作系統(tǒng)的補(bǔ)丁程序，造成客戶端操作系統(tǒng)存在許多安全漏洞，系統(tǒng)易受到攻擊或感染病毒，導(dǎo)致網(wǎng)絡(luò)中斷。

⑥計(jì)算機(jī)命名不規(guī)范

公司網(wǎng)絡(luò)中計(jì)算機(jī)數(shù)量非常多，但由于公司沒有制定統(tǒng)一的命名規(guī)范，許多計(jì)算機(jī)用戶根據(jù)自己的喜好隨意命名，一旦計(jì)算機(jī)出現(xiàn)問題，如感染病毒，影響網(wǎng)絡(luò)正常運(yùn)行時，無法定位具體的計(jì)算機(jī)并確定計(jì)算機(jī)的使用人員，因此不能夠及時排除故障，影響問題解決的時間。

第4篇：公司網(wǎng)絡(luò)安全措施范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)；系統(tǒng)；安全；虛擬化；信息化

一、 企業(yè)網(wǎng)的組成和所面臨的安全威脅

(一) 企業(yè)網(wǎng)的組成

企業(yè)網(wǎng)一般由兩個大的功能區(qū)域組成：企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)。我們可以邏輯上把這兩大區(qū)域進(jìn)一步劃分成若干個模塊，企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠(yuǎn)程接入模塊兩個部分。不同模塊實(shí)現(xiàn)不同的功能，各自的安全需要也有所不同, 需要實(shí)施相應(yīng)的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補(bǔ)充。典型的大型企業(yè)網(wǎng)絡(luò)架構(gòu)如下圖：

(二) 企業(yè)網(wǎng)面臨的安全威脅

1. 來自內(nèi)部用戶的安全威脅

大多數(shù)威脅來自于內(nèi)部網(wǎng)絡(luò), 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。

2. 來自外部網(wǎng)絡(luò)的安全威脅

隨著信息技術(shù)的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切。它們之間不可避免的需要通過網(wǎng)絡(luò)交換信息及共享資源。同時, 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對外提供的公共服務(wù)器上的信息，由于信息資源的共享同時也給企業(yè)網(wǎng)的內(nèi)、外網(wǎng)安全帶來了一系列的挑戰(zhàn)。

二、 企業(yè)內(nèi)網(wǎng)的安全設(shè)計(jì)

企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應(yīng)的安全措施, 以及與其它模塊之間的關(guān)系。

(一) 管理模塊

管理模塊的主要功能是實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的所有設(shè)備和服務(wù)器的安全管理。所面臨最主要的安全威脅有未授權(quán)接入、口令攻擊、中間人攻擊等，為了消除以上管理模塊面臨的安全威脅,應(yīng)采取以下的安全措施：

1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離，包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec、SSH等加密傳輸。

2. 采用強(qiáng)力的認(rèn)證授權(quán)技術(shù)對管理信息進(jìn)行認(rèn)證和授權(quán)，可以通過采用AAA認(rèn)證和雙因素認(rèn)證技術(shù), 保證只有合法的用戶才能管理相應(yīng)設(shè)備, 并能夠防止密碼泄漏和對密碼竊聽。

3. 采用完善的安全審計(jì)技術(shù)對整個網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）的運(yùn)行進(jìn)行記錄和分析，可以通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并為今后網(wǎng)絡(luò)整改提供依據(jù)。

4. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進(jìn)行實(shí)時的分析并及時發(fā)現(xiàn)可能的入侵行為。

由于管理模塊全網(wǎng)可達(dá), 且能夠?qū)θW(wǎng)的所有設(shè)備和服務(wù)器進(jìn)行管理，所以它的安全防護(hù)策略應(yīng)該是全網(wǎng)最嚴(yán)格的。

(二) 核心模塊

核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽、功能區(qū)域劃分模糊和如何實(shí)現(xiàn)快速故障隔離。當(dāng)多種應(yīng)用流量運(yùn)行在核心模塊時，如何防止不同應(yīng)用流量被竊聽篡改、如何對不同應(yīng)用區(qū)域進(jìn)行分類保護(hù)、如何在核心模塊故障發(fā)生時進(jìn)行有效快速的故障隔離成了當(dāng)務(wù)之急。

核心模塊的主要設(shè)備是三層交換機(jī), 三層交換架構(gòu)是消除分組竊聽威脅的有效手段，而核心三層交換機(jī)的虛擬化技術(shù)則可以解決核心功能區(qū)域的精細(xì)劃分、實(shí)現(xiàn)有效快速的隔離故障，提高系統(tǒng)的可用性，防止級聯(lián)式的服務(wù)中斷。通過核心交換機(jī)的虛擬化技術(shù)還可實(shí)現(xiàn)交換機(jī)控制和管理平面的虛擬化，在三層交換機(jī)上配置相應(yīng)的安全策略，為多個應(yīng)用或部門的流量提供安全的網(wǎng)絡(luò)分區(qū)，讓每個應(yīng)用或部門可以獨(dú)立管理和維護(hù)其各自的配置。

(三) 分布層模塊

分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權(quán)訪問、欺騙、病毒和特洛伊木馬的應(yīng)用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應(yīng)采取以下的安全措施：

1. 針對二層網(wǎng)絡(luò)的安全威脅，利用網(wǎng)絡(luò)設(shè)備本身的二層網(wǎng)絡(luò)安全性能，進(jìn)行二層網(wǎng)絡(luò)安全策略的部署，如二層VLAN劃分、DHCP窺探保護(hù)、動態(tài)ARP檢查、IP源地址保護(hù)等安全策略。

2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務(wù)器上保密信息的機(jī)會，利用設(shè)備包過濾技術(shù)，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。

3. 通過RFC2827過濾可有效防止源地址欺騙。

4. 部署防病毒系統(tǒng)，防止各個工作站感染病毒和特洛伊木馬的應(yīng)用。

5. 部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，通過在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，可以實(shí)現(xiàn)最大限度減少內(nèi)部網(wǎng)絡(luò)安全威脅，降低病毒和蠕蟲造成的停機(jī)時間。

根據(jù)網(wǎng)絡(luò)規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達(dá)到減少硬件設(shè)備，達(dá)到減少投資與節(jié)能等目的。

(四) 服務(wù)器模塊

服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。所面臨的主要安全威脅有未授權(quán)訪問、應(yīng)用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應(yīng)采取以下的安全措施：

1. 使用基于主機(jī)和網(wǎng)絡(luò)的IDS/IPS系統(tǒng)。

2. 在交換機(jī)上配置私有VLAN,實(shí)現(xiàn)對服務(wù)器的訪問限制, 限制對關(guān)健服務(wù)器的隨意訪問。

3. 對服務(wù)器及時打上最新的補(bǔ)丁程序。

4. 對服務(wù)器區(qū)域（DMZ區(qū)域）進(jìn)行不同安全級別劃分，通過對不同應(yīng)用的服務(wù)器進(jìn)行安全級別的劃分，并通過防火墻模塊進(jìn)行DMZ邏輯區(qū)域的隔離，可以實(shí)現(xiàn)服務(wù)器故障的快速隔離和服務(wù)器間訪問的有效控制。

5. 針對企業(yè)較為重要的郵件應(yīng)用服務(wù)器，可以單獨(dú)部署電子郵件安全產(chǎn)品，從而減少與垃圾郵件、病毒和其它各種威脅有關(guān)的宕機(jī)，以求減輕技術(shù)人員的負(fù)擔(dān)。

像分布層模塊一樣, 根據(jù)公司規(guī)模、應(yīng)用性能及需求的不同, 服務(wù)器模塊可以與核心模塊相結(jié)合。

(五) 邊界接入模塊

邊界接入模塊的目標(biāo)是在網(wǎng)絡(luò)邊緣集中來自各個接入網(wǎng)模塊的連接，信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似，都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能。像服務(wù)器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。

在邊界接入模塊比較常見的安全措施為應(yīng)用流量觀察分析和安全網(wǎng)關(guān)。應(yīng)用流量觀察分析是通過部署流量控制設(shè)備，使用其二至七層強(qiáng)大的應(yīng)用分析能力，能夠第一時間獲得核心模塊和接入網(wǎng)模塊之間應(yīng)用流量能見度，并以此為基礎(chǔ)在企業(yè)網(wǎng)絡(luò)中部署相應(yīng)的安全策略（比如限制病毒端口號、限制特定內(nèi)網(wǎng)IP地址、限制特定MAC地址）。安全網(wǎng)關(guān)是通過采用專用的安全網(wǎng)關(guān)技術(shù)，實(shí)現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾，Web病毒掃描，間諜軟件防御，HTTPS安全控制，防機(jī)密數(shù)據(jù)外泄等等安全功能。

三、 企業(yè)接入網(wǎng)的安全設(shè)計(jì)

企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠(yuǎn)程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應(yīng)的安全措施。

(一) 外網(wǎng)接入模塊

大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接。外網(wǎng)包括企業(yè)分支網(wǎng)絡(luò)、第三方接入網(wǎng)絡(luò)和互聯(lián)網(wǎng)。所面臨的主要安全威脅有未授權(quán)接入、應(yīng)用層攻擊、病毒和特洛伊木馬、拒絕服務(wù)攻擊等。主要防御措施有：

1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻。防火墻應(yīng)分為兩組防護(hù), 一組用于企業(yè)網(wǎng)與分支機(jī)構(gòu)網(wǎng)絡(luò)的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接。防火墻為內(nèi)網(wǎng)的網(wǎng)絡(luò)資源提供保護(hù),從而確保只有合法信息流穿過防火墻。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時可以使用目前先進(jìn)的“云火墻”技術(shù)，該技術(shù)可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息，實(shí)現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全。

2. 使用防火墻的虛擬化技術(shù)，將單一防火墻設(shè)備邏輯劃分為多個虛擬防火墻，每個防火墻有自己的策略且分別進(jìn)行管理，可以實(shí)現(xiàn)不同區(qū)域模塊之間的安全控制和設(shè)備資源的高效利用。

3. 部署IDS/IPS入侵檢測/防御系統(tǒng)，有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實(shí)時檢測來自外網(wǎng)的入侵行為。

4. 建立統(tǒng)一的應(yīng)用服務(wù)器用于與其它分支網(wǎng)絡(luò)構(gòu)建統(tǒng)一接入平臺，應(yīng)用服務(wù)器作為所有應(yīng)用服務(wù)的, 通過進(jìn)行更嚴(yán)格的應(yīng)用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標(biāo)準(zhǔn)化和可擴(kuò)展性的提升。

5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡(luò)邊緣部署路由器，并通過在路由器入口進(jìn)行數(shù)據(jù)流的過濾，路由器對大多數(shù)攻擊提供了過濾器,同時進(jìn)行RFC1918和RFC2827過濾, 作為對過濾的驗(yàn)證, 路由器還應(yīng)丟棄‘碎片’的數(shù)據(jù)包。對于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風(fēng)險是值得的。

(二) 遠(yuǎn)程接入模塊

遠(yuǎn)程接入模塊的主要目標(biāo)有三個：從遠(yuǎn)程用戶端接VPN信息流、為從遠(yuǎn)程站點(diǎn)VPN信息流提供一個集線器以及撥號用戶。遠(yuǎn)程接入模塊面臨的主要安全威脅有口令攻擊、未授權(quán)接入和中間人攻擊等。此模塊的核心要求是擁有三個獨(dú)立外部用戶服務(wù)驗(yàn)證和端接，對于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡(luò)外的不可信源, 因此要為這三種服務(wù)的每一種提供一個防火墻上的獨(dú)立接口。

1. 遠(yuǎn)程接入VPN，遠(yuǎn)程接入VPN推薦使用IPSec協(xié)議。此服務(wù)的安全管理是通過將所有IPSec的安全參數(shù)從中央站點(diǎn)推向遠(yuǎn)程用戶實(shí)現(xiàn)的。

2. 撥號接入用戶，AAA和一次性口令服務(wù)器可用來驗(yàn)證和提供口令。

3. 站點(diǎn)間VPN，與站點(diǎn)間連接相關(guān)的IP信息流在傳輸模式下由配置成GRE隧道來實(shí)現(xiàn)。

以上來自三種服務(wù)的信息流應(yīng)集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為。

四、 模塊之間的相互關(guān)系

采用模塊化設(shè)計(jì)時, 不是簡單地將網(wǎng)絡(luò)安全設(shè)計(jì)分解成各個孤立的模塊, 各模塊之間緊密聯(lián)系，其安全防護(hù)措施也直接影響到其它模塊的安全。

管理模塊是整個網(wǎng)絡(luò)安全體系的核心、位于其它所有模塊的最頂層。網(wǎng)絡(luò)安全體系的建立, 應(yīng)該首先建立管理模塊的安全結(jié)構(gòu)。它相對于其它模塊有著很大的獨(dú)立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎(chǔ)和前提。

核心模塊、服務(wù)器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)。這三個模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅：分布層模塊提供了針對內(nèi)部發(fā)起攻擊的第一道防線；核心模塊的主要目標(biāo)是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設(shè)備本身的安全設(shè)置以及分布層模塊的安全防護(hù)；服務(wù)器模塊往往會成為內(nèi)部攻擊的主要目標(biāo), 安全性除了自身的安全措施和分布層模塊的安全防護(hù)外, 嚴(yán)格的安全管理是極為重要的。

邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶。邊界接入模塊在外部接入網(wǎng)安全措施的基礎(chǔ)上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能。

外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺。

模塊化的設(shè)計(jì)將復(fù)雜的大型網(wǎng)絡(luò)劃分為幾個相對簡單的模塊, 以模塊為基本單位構(gòu)筑整個網(wǎng)絡(luò)的安全體系結(jié)構(gòu)。使用模塊化的網(wǎng)絡(luò)安全設(shè)計(jì)能夠很容易實(shí)現(xiàn)單個模塊的安全功能,并實(shí)現(xiàn)模塊與模塊間的安全關(guān)系,從而在整個企業(yè)網(wǎng)絡(luò)中形成分層次的縱深防御體系。還能夠使設(shè)計(jì)者進(jìn)行逐個模塊的安全風(fēng)險評估和實(shí)施安全, 而非試圖在一個階段就完成整個體系結(jié)構(gòu)。

參考文獻(xiàn)：

[1] 崔國慶. 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防護(hù)的研究?. 電腦知識與技術(shù)，2009年9月.

第5篇：公司網(wǎng)絡(luò)安全措施范文

關(guān)鍵詞：信息；系統(tǒng)；安全

中圖分類號：C931.6 文獻(xiàn)標(biāo)識碼：A

1 我院網(wǎng)絡(luò)現(xiàn)行狀況

我院計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)分為兩大部分：外網(wǎng)部分通過路由器上聯(lián)互聯(lián)網(wǎng)，有近400臺工作站；內(nèi)網(wǎng)部分下聯(lián)各科室及業(yè)務(wù)數(shù)據(jù)服務(wù)器以及市醫(yī)保處專網(wǎng)，有25臺服務(wù)器，近1000臺工作站。

2 現(xiàn)在網(wǎng)絡(luò)存在的問題

外網(wǎng)部分由于受網(wǎng)絡(luò)蠕蟲病毒（如ARP類病毒）侵害，目前采用撥號方式上網(wǎng)，但在這種情況下無法搭建統(tǒng)一的OA辦公平臺。

外網(wǎng)部分沒有做Vlan劃分的規(guī)劃，一旦網(wǎng)絡(luò)蠕蟲病毒爆發(fā)，容易造成大面積的網(wǎng)絡(luò)問題。

內(nèi)網(wǎng)部分科室機(jī)器以后需同時能連接互聯(lián)網(wǎng)上傳疫情，這會給內(nèi)網(wǎng)帶來較大風(fēng)險。

內(nèi)網(wǎng)部分需開拓多臺與社保通信（市醫(yī)保網(wǎng)）的系統(tǒng)平臺，包括多個終端及服務(wù)器，這些機(jī)器同時連入內(nèi)網(wǎng)，給內(nèi)網(wǎng)帶來潛在風(fēng)險。

內(nèi)網(wǎng)部分存在重要業(yè)務(wù)系統(tǒng)，對業(yè)務(wù)連續(xù)性要求很高，然而隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大給業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)帶來更多的威脅，因而網(wǎng)絡(luò)中缺乏一種對多網(wǎng)絡(luò)風(fēng)險進(jìn)行監(jiān)控的措施。

3 網(wǎng)絡(luò)安全解決辦法

根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》，我院應(yīng)屬于等級保護(hù)的第二級，按照第二級基本要求（包括技術(shù)要求和管理要求）和我院現(xiàn)在網(wǎng)絡(luò)存在的問題，在功能上與管理上的需求如下：

完整性：網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，從安全性的角度考慮需要不同安全產(chǎn)品之間的安全互補(bǔ)，通過這種對照、比較，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性。

經(jīng)濟(jì)性：根據(jù)保護(hù)對象的價值、威脅以及存在的風(fēng)險，制定保護(hù)策略，使得系統(tǒng)的安全和投資達(dá)到均衡，避免低價值對象采用高成本的保護(hù)，反之亦然。

動態(tài)性：隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。所選用的安全產(chǎn)品必須及時地、不斷地改進(jìn)和完善，及時進(jìn)行技術(shù)和設(shè)備的升級換代，只有這樣才能保證系統(tǒng)的安全性。

專業(yè)性：攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認(rèn)識，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長期的進(jìn)行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。

可管理性：由于國內(nèi)的一些企業(yè)獨(dú)有的管理特色，安全系統(tǒng)在部署的時候也要適合這種管理體系，如分布、集中、分級的管理方式在一個系統(tǒng)中同時要求滿足。

標(biāo)準(zhǔn)性：遵守國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及國際相關(guān)的安全標(biāo)準(zhǔn)，是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。

可控性：系統(tǒng)安全的任何一個環(huán)節(jié)都應(yīng)有很好的可控性，他可以有效的保證系統(tǒng)安全在可以控制的范圍，而這一點(diǎn)也是安全的核心。這就要求對安全產(chǎn)品本身的安全性和產(chǎn)品的可客戶化。

易用性：安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。

4 遵循以上原則，我院通過物理安全和網(wǎng)絡(luò)安全方面作了以下防護(hù)。

物理安全防護(hù)：首先我們進(jìn)行的VLAN的劃分，在內(nèi)外網(wǎng)都進(jìn)行了全網(wǎng)的VLAN規(guī)劃。這樣在不同業(yè)務(wù)系統(tǒng)VLAN之間除非明確允許，否則不能互相訪問，有效的防止病毒的蔓延。

其次IP與MAC地址的綁定。采取交換機(jī)端口MAC地址綁定，防止局域網(wǎng)內(nèi)用戶對物理地址的隨意更改。

最后采用鏈路備份機(jī)制，對主干傳輸鏈路提供故障切換，確保傳輸數(shù)據(jù)不中斷。

網(wǎng)絡(luò)安全防護(hù)：

4.1 內(nèi)網(wǎng)聯(lián)外網(wǎng)的邊界：內(nèi)網(wǎng)本是完全獨(dú)立的網(wǎng)絡(luò)，由于醫(yī)保機(jī)制需要與市醫(yī)保處連接進(jìn)行實(shí)時報(bào)銷，這就增大了內(nèi)網(wǎng)的不安全性，所以我們在內(nèi)網(wǎng)與市醫(yī)保網(wǎng)的邊界部署防火墻設(shè)備，起到邏輯隔離的效果，保護(hù)網(wǎng)絡(luò)不受醫(yī)保網(wǎng)的干擾。

4.2 外網(wǎng)聯(lián)互聯(lián)網(wǎng)的邊界：通過在外網(wǎng)邊界部署防火墻、防毒墻對辦公網(wǎng)絡(luò)進(jìn)行防病毒、防攻擊、訪問控制等防護(hù)，凈化辦公網(wǎng)絡(luò)；保證來自互聯(lián)網(wǎng)的異常行為不能進(jìn)入辦公網(wǎng)絡(luò)。

內(nèi)網(wǎng)與外網(wǎng)的邊界：在內(nèi)網(wǎng)與辦公網(wǎng)之間部署網(wǎng)閘，配置特殊的訪問需求，使辦公網(wǎng)在特定的情況下訪問內(nèi)網(wǎng)（例如疫情上報(bào)），就像U盤拷貝文件一樣只存取特定數(shù)據(jù)，實(shí)現(xiàn)了內(nèi)網(wǎng)與辦公網(wǎng)之間只進(jìn)行按需換，避免重復(fù)輸入數(shù)據(jù)，而且保證了系統(tǒng)的網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)病毒防范：通過布署全網(wǎng)防病毒系統(tǒng)，可以對全網(wǎng)統(tǒng)一進(jìn)行病毒庫升級、統(tǒng)一安全防護(hù)策略、統(tǒng)一殺毒，避免了病毒在網(wǎng)絡(luò)內(nèi)部的感染與傳播；構(gòu)建了最基本的病毒防線。

部署后的網(wǎng)絡(luò)拓?fù)鋱D如下：

通過對內(nèi)外網(wǎng)安全系統(tǒng)的防護(hù)，實(shí)現(xiàn)了醫(yī)院各種應(yīng)用系統(tǒng)的應(yīng)用，促進(jìn)了信息資源的充分共享和廣泛使用，提高了醫(yī)院的辦公效率；解決了我院現(xiàn)有網(wǎng)絡(luò)存在的安全問題，同時為醫(yī)院搭建統(tǒng)一的OA平臺掃除了障礙，為醫(yī)院現(xiàn)在和未來整體信息系統(tǒng)的發(fā)展做到了保駕護(hù)航。

參考文獻(xiàn)

第6篇：公司網(wǎng)絡(luò)安全措施范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；入侵檢測；主動防御

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)28-6884-02

隨著信息技術(shù)的快速發(fā)展，信息系統(tǒng)在企業(yè)的應(yīng)用越來越多，在企業(yè)生產(chǎn)和經(jīng)驗(yàn)管理的各方面都扮演著重要的角色。信息系統(tǒng)大多是以網(wǎng)絡(luò)為載體,網(wǎng)絡(luò)系統(tǒng)的安全與否直接關(guān)系到信息系統(tǒng)的安全運(yùn)行。當(dāng)前來自網(wǎng)絡(luò)的安全隱患時刻威脅著企業(yè)信息系統(tǒng)的安全運(yùn)行,對企業(yè)的正常運(yùn)營造成極大威脅。

我們迫切需要研究和應(yīng)用網(wǎng)絡(luò)安全技術(shù)，構(gòu)建強(qiáng)大的網(wǎng)絡(luò)安全體系，從而形成有效的信息系統(tǒng)安全網(wǎng)絡(luò)保護(hù)屏障。

1 網(wǎng)絡(luò)安全實(shí)施

結(jié)合現(xiàn)有網(wǎng)絡(luò)環(huán)境和實(shí)際需求，我們只有多管齊下，綜合采用多種安全防范措施，才能有效提高網(wǎng)絡(luò)安全管理水平。當(dāng)前，適合我們采用的應(yīng)對網(wǎng)絡(luò)安全威脅的防御措施主要有物理隔離、交換機(jī)安全配置、病毒防范、網(wǎng)絡(luò)漏洞掃描、上網(wǎng)行為管理、防火墻、入侵檢測系統(tǒng)、主動防御系統(tǒng)等。

1.1 物理隔離

對只在較小網(wǎng)絡(luò)范圍內(nèi)使用，并且不與外網(wǎng)有連接需求的信息系統(tǒng)，進(jìn)行單獨(dú)組網(wǎng)，不接入公司局域網(wǎng)，徹底杜絕來自局域網(wǎng)和外部網(wǎng)的安全隱患。對于MES等生產(chǎn)專用系統(tǒng)，單獨(dú)組網(wǎng)，網(wǎng)絡(luò)設(shè)備、光纖線路專網(wǎng)專用，與局域網(wǎng)分開，用戶只能通過防火墻等安全設(shè)備與橋頭堡服務(wù)器通訊獲取內(nèi)部數(shù)據(jù)信息，盡可能減少網(wǎng)絡(luò)安全隱患。

1.2 交換機(jī)安全配置隔離

交換機(jī)具有一定的網(wǎng)絡(luò)控制功能，通過訪問控制列表（ACL）、VLAN劃分等功能可以實(shí)施必要的網(wǎng)絡(luò)安全功能。

訪問控制列表：對交換機(jī)進(jìn)行訪問控制列表的設(shè)置，設(shè)置滿足指定源地址、目的地址、端口號、協(xié)議等特定條件的數(shù)據(jù)包是否能夠通過。通過訪問控制列表可以進(jìn)行基本的網(wǎng)絡(luò)控制，通過設(shè)置可以讓交換機(jī)攔截已知的、明顯的網(wǎng)絡(luò)攻擊行為。

VLAN劃分：劃分VLAN可以防止網(wǎng)絡(luò)風(fēng)暴的發(fā)生，提高網(wǎng)絡(luò)的可用性和健壯性，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時，容易將其控制在較小的范圍內(nèi)。從另一方面來看，VLAN也是網(wǎng)絡(luò)安全的一項(xiàng)重要措施。用VLAN技術(shù)來將網(wǎng)絡(luò)按應(yīng)用或部門劃分為邏輯的區(qū)塊，各個VLAN之間通訊或者VLAN與外部通訊可以通過訪問控制列表實(shí)現(xiàn)允許或者禁止指定數(shù)據(jù)包的通過。

1.3 病毒防范

計(jì)算機(jī)病毒可以破壞計(jì)算機(jī)系統(tǒng)，并通過網(wǎng)絡(luò)的傳播擴(kuò)大破壞范圍。病毒的惡意破壞會導(dǎo)致網(wǎng)絡(luò)運(yùn)行效率下降，嚴(yán)重的會導(dǎo)致網(wǎng)絡(luò)中斷。病毒的泛濫還會對網(wǎng)內(nèi)運(yùn)行的信息系統(tǒng)的安全造成極大的威脅。因此構(gòu)建防病毒體系十分重要。為有效實(shí)施防病毒工作，并減輕信息技術(shù)部門的維護(hù)難度，我們最終選用了Symantec防病毒系統(tǒng)，該系統(tǒng)采用服務(wù)器/客戶端部署方式。使用該系統(tǒng)，服務(wù)器可推送病毒定義給各客戶端，并能定時控制客戶端啟動殺毒進(jìn)程?？蛻舳丝蓪?shí)時監(jiān)控來自網(wǎng)絡(luò)、U盤等外部的信息來源途徑，阻斷病毒的侵入。

1.4 網(wǎng)絡(luò)漏洞掃描

如果網(wǎng)絡(luò)上的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備有安全漏洞，就很可能被非法入侵者利用，從而威脅到內(nèi)部網(wǎng)絡(luò)的安全。而隨著信息化應(yīng)用的深入，網(wǎng)絡(luò)上的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備很多，一臺臺設(shè)備漏洞的排查將很困難，這樣，使用網(wǎng)絡(luò)漏洞掃描系統(tǒng)就能發(fā)揮巨大作用。網(wǎng)絡(luò)漏洞掃描系統(tǒng)能對網(wǎng)絡(luò)上的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全漏洞檢測和分析，從而發(fā)現(xiàn)可能被入侵者非法利用的漏洞。針對發(fā)現(xiàn)的漏洞可以采取有效措施進(jìn)行修補(bǔ)，增強(qiáng)整體網(wǎng)絡(luò)的安全性。

1.5 上網(wǎng)行為管理

內(nèi)部網(wǎng)絡(luò)的安全管理同樣重要。由于員工的不當(dāng)上網(wǎng)行為導(dǎo)致的如下問題困擾著公司的管理者。首先是有限網(wǎng)絡(luò)帶寬被非業(yè)務(wù)需求大量占用，影響了正常的網(wǎng)上業(yè)務(wù)的開展。其次，核心機(jī)密信息隨時可能通過網(wǎng)絡(luò)被泄露出去，威脅到公司核心利益。第三，隨意的網(wǎng)絡(luò)行為可能引來網(wǎng)絡(luò)的攻擊行為，病毒、木馬輕易地進(jìn)入內(nèi)部網(wǎng)。第四，無限制的網(wǎng)絡(luò)行為使員工難以專注工作，降低了員工的工作效率。

為此我們引入了山石安全網(wǎng)關(guān)，加強(qiáng)了內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為管理。對于與辦公無關(guān)的網(wǎng)絡(luò)應(yīng)用給予關(guān)閉，大量占用帶寬的應(yīng)用進(jìn)行了限制。

1.6 防火墻部署

防火墻技術(shù)是一種最為流行的網(wǎng)絡(luò)安全技術(shù)，使用廣泛。防火墻對流經(jīng)它的數(shù)據(jù)包進(jìn)行掃描、過濾，阻止網(wǎng)絡(luò)入侵非法行為，保護(hù)我們的網(wǎng)絡(luò)免受惡意攻擊，防止未經(jīng)允許和未被授權(quán)的數(shù)據(jù)包出入被保護(hù)的內(nèi)部網(wǎng)絡(luò)，并允許對流入和流出內(nèi)部網(wǎng)的信息流分別應(yīng)用安全策略。防火墻主要采用包過濾技術(shù)，在其內(nèi)設(shè)置過濾邏輯，根據(jù)檢查所通過的每個數(shù)據(jù)包源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。防火墻執(zhí)行狀態(tài)包過濾，功能強(qiáng)于訪問控制列表。訪問控制列表是交換機(jī)上的配置，會增加交換機(jī)的運(yùn)行負(fù)荷；由于防火墻是單獨(dú)的網(wǎng)絡(luò)安全設(shè)備，其運(yùn)行不會增加交換機(jī)的負(fù)荷。

根據(jù)網(wǎng)絡(luò)現(xiàn)狀和實(shí)際需求，我們決定給現(xiàn)有的Cisco 6509交換機(jī)加裝防火墻服務(wù)模塊（FWSM）。該方案的特點(diǎn)是速度快、可靠性高。利用防火墻模塊的虛擬防火墻功能，還可以將一個防火墻模塊虛擬成若干臺虛擬防火墻，可實(shí)現(xiàn)多個VLAN網(wǎng)絡(luò)安全隔離和防范。

1.7 入侵檢測系統(tǒng)（IDS）部署

入侵檢測系統(tǒng)通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)可以在發(fā)生入侵或者發(fā)現(xiàn)源自系統(tǒng)內(nèi)部的攻擊時，評估可疑的行為并發(fā)出警告。某些防火墻無法防范的攻擊行為，如利用正常的協(xié)議端口（例如80端口）發(fā)起的入侵行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)。為Cisco 6509交換機(jī)加裝IDS模塊即可實(shí)現(xiàn)入侵檢測功能。

1.8 主動防御系統(tǒng)部署

網(wǎng)絡(luò)主動防御系統(tǒng)（NAD：Network Active Defense）具有智能學(xué)習(xí)功能，通過對外部、內(nèi)部網(wǎng)絡(luò)入侵知識的獲取及運(yùn)用，能夠自動識別影響網(wǎng)絡(luò)正常運(yùn)行的各種異常行為，并可以與防火墻、網(wǎng)絡(luò)交換機(jī)、受影響主機(jī)進(jìn)行互動，在物理層對網(wǎng)絡(luò)異常行為進(jìn)行阻隔的系統(tǒng)。

網(wǎng)絡(luò)主動防御系統(tǒng)是一種主動的、積極的網(wǎng)絡(luò)異常行為防范、阻止系統(tǒng)，它收集網(wǎng)絡(luò)上的各種流量信息進(jìn)行分析，當(dāng)它檢測到異常行為后，會主動基于特定控制接口與網(wǎng)絡(luò)交換機(jī)、防火墻等設(shè)備進(jìn)行聯(lián)動，通過關(guān)閉物理端口、改變安全策略等措施來制止網(wǎng)絡(luò)異常行為并阻隔攻擊源。

我們配備了思科安全監(jiān)控分析和響應(yīng)系統(tǒng)(MARS)，它是一個高性能、可擴(kuò)展的威脅管理、監(jiān)控和防御設(shè)備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡(luò)智能、上下文關(guān)聯(lián)、因素分析、異常流量檢測、熱點(diǎn)識別和自動防御功能相結(jié)合，可自動準(zhǔn)確識別和消除網(wǎng)絡(luò)攻擊，且保持網(wǎng)絡(luò)的安全策略符合性。它的自動防御功能可識別攻擊路徑上第一跳物理交換端口，阻塞此端口來阻止攻擊行為，降低網(wǎng)絡(luò)受損程度，防止網(wǎng)絡(luò)安全威脅擴(kuò)散。

2 網(wǎng)絡(luò)安全實(shí)施效果及總結(jié)

經(jīng)過多種措施和網(wǎng)絡(luò)安全技術(shù)方案的實(shí)施，公司內(nèi)部的網(wǎng)絡(luò)安全水平得到了較大的提升。應(yīng)用各項(xiàng)安全措施，近期成功識別和攔截了多次網(wǎng)絡(luò)攻擊行為，沒有對局域網(wǎng)造成危害。但我們應(yīng)該看到信息技術(shù)在高速發(fā)展，新的網(wǎng)絡(luò)攻擊行為層出不窮，只有不斷加強(qiáng)網(wǎng)絡(luò)安全措施，提升安全管理水平，才可能應(yīng)對新的網(wǎng)絡(luò)安全形勢。

參考文獻(xiàn)：

第7篇：公司網(wǎng)絡(luò)安全措施范文

1.1影響移動通信網(wǎng)絡(luò)安全的因素

移動通信網(wǎng)絡(luò)的普及和演進(jìn)中影響網(wǎng)絡(luò)的安全因素。正面的因素包含鑒權(quán)加密增強(qiáng)和業(yè)務(wù)認(rèn)證統(tǒng)一化。通信網(wǎng)絡(luò)作為信息傳遞的一種主要載體，隨著終端的智能化、網(wǎng)絡(luò)IP化、業(yè)務(wù)多樣化和應(yīng)用豐富化，不可避免的時間一長就會出現(xiàn)安全漏洞。

1.2常用的幾種通信安全技術(shù)

1.2.12G網(wǎng)絡(luò)安全常用的技術(shù)

用戶身份鑒權(quán)：對接入的用戶身份發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證用戶身份的合法性，保證授權(quán)用戶能夠接入網(wǎng)絡(luò)。用戶身份保密:提供用戶身份的保密措施。在用戶初次接入網(wǎng)絡(luò)的時候IMSI才被發(fā)送，僅在無線信道上發(fā)送移動用戶相應(yīng)的TMSI。數(shù)據(jù)加密技術(shù)：加密就是將明文轉(zhuǎn)化為密文的過程。

1.2.23G網(wǎng)絡(luò)安全常用的技術(shù)

用戶和網(wǎng)絡(luò)之間雙向身份鑒權(quán)認(rèn)證：在用戶的卡和核心網(wǎng)設(shè)備鑒權(quán)中心進(jìn)行雙向認(rèn)證。業(yè)務(wù)和信令信息加密保護(hù)：空中接口業(yè)務(wù)和信令信息加密安全機(jī)制的實(shí)施是在用戶終端盒無線接入設(shè)備之間進(jìn)行的。安全算法協(xié)商：加密算法協(xié)商和完整性算法協(xié)商通過用戶和網(wǎng)絡(luò)之間的認(rèn)證和安全協(xié)商機(jī)制AKA實(shí)現(xiàn)的。

1.2.334G網(wǎng)絡(luò)安全常用的技術(shù)

與3G網(wǎng)絡(luò)安全相比，4G沿用了3G網(wǎng)絡(luò)的AKA鑒權(quán)和密鑰協(xié)商機(jī)制。分為兩個層次安全：A（S接入層）安全和NA（S非接入層）安全。分層的密鑰生成體系：派生出較多層次的密鑰，分別實(shí)現(xiàn)各層的保密性和完整性保護(hù)，提高了通信中的安全性。

2通信網(wǎng)絡(luò)的安全防護(hù)措施

移動互聯(lián)網(wǎng)面臨的安全威脅主要來自終端、網(wǎng)絡(luò)和業(yè)務(wù)。終端的智能化帶來的威脅主要是手機(jī)病毒和惡意代碼引起的破壞終端功能、竊取用戶信息、濫用網(wǎng)絡(luò)資源、非法惡意訂購等。網(wǎng)絡(luò)的安全威脅主要包括非法接入網(wǎng)絡(luò)、進(jìn)行拒絕服務(wù)攻擊、跟蹤竊聽空口傳輸?shù)男畔ⅰE用網(wǎng)絡(luò)服務(wù)等。業(yè)務(wù)層面的安全威脅包括非法訪問業(yè)務(wù)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露等。為了實(shí)現(xiàn)通信網(wǎng)絡(luò)安全性，我們必須采取一系列有效的防護(hù)措施來將網(wǎng)絡(luò)的風(fēng)險降到最低。其安全措施主要有：

2.1防火墻技術(shù)

經(jīng)過鑒別，限制，更改跨越防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對網(wǎng)絡(luò)的安全保護(hù)，這樣可以極大限度的對網(wǎng)絡(luò)中出現(xiàn)的黑客進(jìn)行阻止，防止他們隨意更改、刪除網(wǎng)絡(luò)上的重要信息。因此，防火墻是一種有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，可以防止某些Internet中不安全因素的蔓延。

2.2身份的認(rèn)證技術(shù)

通過身份認(rèn)證的技術(shù)可以一定范圍內(nèi)的保障信息的機(jī)密性、完整性、不可否認(rèn)性及可控性等功能特性。

2.3入侵的檢測技術(shù)

入侵檢測技術(shù)是防火墻技術(shù)的一個補(bǔ)充，它對網(wǎng)絡(luò)系統(tǒng)內(nèi)外部的攻擊進(jìn)行實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，提高了信息安全性。

2.4網(wǎng)絡(luò)加密技術(shù)

加密技術(shù)是網(wǎng)絡(luò)安全的核心。它防止公用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。由于采用網(wǎng)絡(luò)加密技術(shù)，公網(wǎng)數(shù)據(jù)傳輸?shù)陌踩院瓦h(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全性都得到了解決。漏洞的掃描技術(shù)面對網(wǎng)絡(luò)的不斷復(fù)雜變化，光依靠網(wǎng)絡(luò)管理員尋找安全漏洞是不夠的，所以要借助網(wǎng)絡(luò)安全掃描工具來優(yōu)化系統(tǒng)配置，找出漏洞消除安全隱患。

2.5虛擬的專用網(wǎng)技術(shù)

虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的、安全的連接；這是一條穿過混亂的公用網(wǎng)絡(luò)的穩(wěn)定安全隧道。

第8篇：公司網(wǎng)絡(luò)安全措施范文

企業(yè)內(nèi)部辦公自動化網(wǎng)絡(luò)一般是基于TcrilP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intra-net，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)人侵、病毒人侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果，給正常的企業(yè)經(jīng)營活動造成極大的負(fù)面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡(luò)系統(tǒng)。

辦公自動化系統(tǒng)的安全包括網(wǎng)絡(luò)設(shè)備、配套設(shè)備的安全、數(shù)據(jù)的安全、通訊的安全、運(yùn)行環(huán)境的安全，還包括網(wǎng)絡(luò)內(nèi)部每臺計(jì)算機(jī)的安全、計(jì)算機(jī)功能的正常發(fā)揮等部分。

辦公自動化網(wǎng)絡(luò)安全問題的解決主要應(yīng)從預(yù)警、防護(hù)、災(zāi)難恢復(fù)等三方面人手，下面就安全預(yù)警、數(shù)據(jù)安全防護(hù)、人侵防范、病毒防治以及數(shù)據(jù)恢復(fù)等方面分別探討。

2.辦公自動化網(wǎng)絡(luò)常見的安全問題

2.1黑客入侵

目前的辦公自動化網(wǎng)絡(luò)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)。在同一以太網(wǎng)中，任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅可以為這兩個節(jié)點(diǎn)的網(wǎng)卡所接收，也同時能夠?yàn)樘幵谕灰蕴W(wǎng)上的任何一個節(jié)點(diǎn)的網(wǎng)卡所截取。另外，為了工作方便，辦公自動化網(wǎng)絡(luò)都備有與

外網(wǎng)和國際互聯(lián)網(wǎng)相互連接的出人口，因此，外網(wǎng)及國際互聯(lián)網(wǎng)中的黑客只要侵人辦公自動化網(wǎng)絡(luò)中的任意節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息;而本網(wǎng)絡(luò)中的黑客則有可能非常方便的截取任何數(shù)據(jù)包，從而

造成信息的失竊。

2.2病毒感染

隨著計(jì)算機(jī)和網(wǎng)絡(luò)的進(jìn)步和普及，計(jì)算機(jī)病毒也不斷出現(xiàn)，總數(shù)已經(jīng)超過20000種，并以每月300種的速度增加，其破環(huán)性也不斷增加，而網(wǎng)絡(luò)病毒破壞性就更強(qiáng)。一旦文件服務(wù)器的硬盤被病毒感染，就可能造成系統(tǒng)損壞、數(shù)據(jù)丟失，使網(wǎng)絡(luò)服務(wù)器無法起動，應(yīng)用程序和數(shù)據(jù)無法正確使用，甚至導(dǎo)致整個網(wǎng)絡(luò)癱瘓，造成不可估

量的損失。

網(wǎng)絡(luò)病毒普遍具有較強(qiáng)的再生機(jī)制，可以通過網(wǎng)絡(luò)擴(kuò)散與傳染。一旦某個公用程序染了毒，那么病毒將很帷#}個網(wǎng)絡(luò)卜傳播.威染其它的程序。由網(wǎng)絡(luò)病毒造成網(wǎng)絡(luò)癱瘓的損失是難以估計(jì)的。一旦網(wǎng)絡(luò)服務(wù)器被感染，其解毒所需的時間將是單機(jī)的幾十倍以上。

2.3數(shù)據(jù)破壞

在辦公自動化網(wǎng)絡(luò)系統(tǒng)中，有多種因素可能導(dǎo)致數(shù)據(jù)的破壞。

首先是黑客侵人，黑客基于各種原因侵人網(wǎng)絡(luò)，其中惡意侵人對網(wǎng)絡(luò)的危害可能是多方面的。其中一種危害就是破壞數(shù)據(jù)，可能破壞服務(wù)器硬盤引導(dǎo)區(qū)數(shù)據(jù)、刪除或覆蓋原始數(shù)據(jù)庫、破壞應(yīng)用程序數(shù)據(jù)等。

其次是病毒破壞，病毒可能攻擊系統(tǒng)數(shù)據(jù)區(qū)，包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等;病毒還可能攻擊文件數(shù)據(jù)區(qū)，使文件數(shù)據(jù)被刪除、改名、替換、丟失部分程序代碼、丟失數(shù)據(jù)文件;病毒還可能攻擊CMOS，破壞系統(tǒng)CMOS中的數(shù)據(jù)。

第三是災(zāi)難破壞，由于自然災(zāi)害、突然停電、強(qiáng)烈

震動、誤操作等造成數(shù)據(jù)破壞。

重要數(shù)據(jù)遭到破壞和丟失，會造成企業(yè)經(jīng)營困難、人力、物力、財(cái)力的巨大浪費(fèi)。

3.網(wǎng)絡(luò)安全策略

3.1網(wǎng)絡(luò)安全預(yù)警

辦公自動化網(wǎng)絡(luò)安全預(yù)誓系統(tǒng)分為人侵預(yù)警和病毒預(yù)警兩部分。

人侵預(yù)警系統(tǒng)中，人侵檢測可以分析確定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否經(jīng)過授權(quán)。一旦檢測到人侵信息，將發(fā)出警告，從而減少對網(wǎng)絡(luò)的威脅。它把包括網(wǎng)絡(luò)掃描、互聯(lián)網(wǎng)掃描、系統(tǒng)掃描、實(shí)時監(jiān)控和第三方的防火墻產(chǎn)生的重要安全數(shù)據(jù)綜合起來，提供內(nèi)部和外部的分析并

在實(shí)際網(wǎng)絡(luò)中發(fā)現(xiàn)風(fēng)險源和直接響應(yīng)。它提供企業(yè)安全風(fēng)險管理報(bào)告，報(bào)告集中于重要的風(fēng)險管理范圍，如實(shí)時風(fēng)險、攻擊條件、安全漏洞和攻擊分析;提供詳細(xì)的人侵告警報(bào)告，顯示人侵告警信息(如人侵IP地址及目的IP地址、目的端口、攻擊特征)，并跟蹤分析人侵趨

勢，以確定網(wǎng)絡(luò)的安全狀態(tài);信息可以發(fā)往相關(guān)數(shù)據(jù)庫，作為有關(guān)網(wǎng)絡(luò)安全的決策依據(jù)。

病毒預(yù)警系統(tǒng)通過對所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包實(shí)施不間斷的持續(xù)掃描，保持全天24小時監(jiān)控所有進(jìn)出網(wǎng)絡(luò)的文件，發(fā)現(xiàn)病毒時可立即產(chǎn)生報(bào)警信息，通知管理員，并可以通過IP地址定位、端口定位追蹤病毒來源，并產(chǎn)生功能強(qiáng)大的掃描日志與報(bào)告，記錄規(guī)定時間內(nèi)追蹤網(wǎng)絡(luò)所有病毒的活動。

3.2數(shù)據(jù)安全保護(hù)

3.2.1針對入侵的安全保護(hù)

對于數(shù)據(jù)庫來說，其物理完整性、邏輯完整性、數(shù)據(jù)元素完整性都是十分重要的。數(shù)據(jù)庫中的數(shù)據(jù)有純粹信息數(shù)據(jù)和功能文件數(shù)據(jù)兩大類，人侵保護(hù)應(yīng)主要考慮

以下幾條原則:

物理設(shè)備和安全防護(hù)，包括服務(wù)器、有線、無線通信線路的安全防護(hù);

服務(wù)器安全保護(hù)，不同類型、不同重要程度的數(shù)據(jù)應(yīng)盡可能在不同的服務(wù)器上實(shí)現(xiàn)，重要數(shù)據(jù)采用分布式管理，服務(wù)器應(yīng)有合理的訪問控制和身份認(rèn)證措施保護(hù)，并記錄訪問日志。系統(tǒng)中的重要數(shù)據(jù)在數(shù)據(jù)庫中應(yīng)有加密和驗(yàn)證措施。

用戶對數(shù)據(jù)的存取應(yīng)有明確的授權(quán)策略，保證用戶只能打開自己權(quán)限范圍之內(nèi)的文件;

通過審計(jì)和留痕技術(shù)避免非法者從系統(tǒng)外取得系統(tǒng)數(shù)據(jù)或是合法用戶為逃避系統(tǒng)預(yù)警報(bào)告的監(jiān)督而從系統(tǒng)中取得數(shù)據(jù);

客戶端安全保護(hù)，客戶端的安全主要是要求能配合服務(wù)器的安全措施，提供身份認(rèn)證、加密、解密、數(shù)字簽名和信息完整性驗(yàn)證功能，并通過軟件強(qiáng)制實(shí)現(xiàn)各客戶機(jī)口令的定期更換，以防止口令泄漏可能帶來的損失。

3.2.2針對病毒破壞及災(zāi)難破壞的安全保護(hù)

對于病毒和災(zāi)難破壞的數(shù)據(jù)保護(hù)來說，最為有效的保護(hù)方式有兩大類:物理保護(hù)和數(shù)據(jù)備份。

要防止病毒和災(zāi)難破壞數(shù)據(jù)，首先要在網(wǎng)絡(luò)核心設(shè)備上設(shè)置物理保護(hù)措施，包括設(shè)置電源冗余模塊和交換端口的冗余備份;其次是采用磁盤鏡像或磁盤陣列存儲數(shù)據(jù)，避免由于磁盤物理故障造成數(shù)據(jù)丟失;另外，還要使用其他物理媒體對重要的數(shù)據(jù)進(jìn)行備份，包括實(shí)時數(shù)據(jù)備份和定期數(shù)據(jù)備份，以便數(shù)據(jù)丟失后及時有效地恢復(fù)。

3.3人侵防范

要有效地防范非法入侵，應(yīng)做到內(nèi)外網(wǎng)隔離、訪問控制、內(nèi)部網(wǎng)絡(luò)隔離和分段管理。

3.3.1內(nèi)外網(wǎng)隔離

在內(nèi)部辦公自動化網(wǎng)絡(luò)和外網(wǎng)之間，設(shè)置物理隔離，以實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離是保護(hù)辦公自動化網(wǎng)絡(luò)安全的最主要、同時也是最有效、最經(jīng)濟(jì)的措施之一。

第一層隔離防護(hù)措施是路由器。路由器濾掉被屏蔽的IP地址和服務(wù)。可以首先屏蔽所有的IP地址，然后有選擇的放行一些地址進(jìn)人辦公自動化網(wǎng)絡(luò)。

第二層隔離防護(hù)措施是防火墻。大多數(shù)防火墻都有認(rèn)證機(jī)制，無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)攻擊的檢測和告警。

3.3.2訪問控制

辦公自動化網(wǎng)絡(luò)應(yīng)采用訪問控制的安全措施，將整個網(wǎng)絡(luò)結(jié)構(gòu)分為三部分，內(nèi)部網(wǎng)絡(luò)、隔離區(qū)以及外網(wǎng)。每個部分設(shè)置不同的訪問控制方式。其中:內(nèi)部網(wǎng)絡(luò)是不對外開放的區(qū)域，它不對外提供任何服務(wù)，所以外部用戶檢測不到它的IP地址，也難以對它進(jìn)行攻擊。隔離

區(qū)對外提供服務(wù)，系統(tǒng)開放的信息都放在該區(qū)，由于它的開放性，就使它成為黑客們攻擊的對象，但由于它與內(nèi)部網(wǎng)是隔離開的，所以即使受到了攻擊也不會危及內(nèi)部網(wǎng)，這樣雙重保護(hù)了內(nèi)部網(wǎng)絡(luò)的資源不受侵害，也方便管理員監(jiān)視和診斷網(wǎng)絡(luò)故障。

3.3.3內(nèi)部網(wǎng)絡(luò)的隔離及分段管理

內(nèi)部網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。

辦公自動化網(wǎng)絡(luò)可以根據(jù)部門或業(yè)務(wù)需要分段.網(wǎng)絡(luò)分段可采用物理分段或邏輯分段兩種方式:物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，

各網(wǎng)段相互之間無法進(jìn)行直接通訊;邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。并能實(shí)現(xiàn)子網(wǎng)隔離。在實(shí)際應(yīng)用過程中，通常采取物理分段與邏輯分段相結(jié)合

的方法來實(shí)現(xiàn)隔離。

采取相應(yīng)的安全措施后，子網(wǎng)間可相互訪問。對于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備(含軟件、硬件)的安全機(jī)制來控制各子網(wǎng)間的訪問。在這里，防火墻被用來隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段，可以限制局部網(wǎng)絡(luò)安全

問題對全局網(wǎng)絡(luò)造成的影響。

3.4病毒防治

相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理緊密結(jié)合。網(wǎng)絡(luò)防病毒最大的特點(diǎn)在于網(wǎng)絡(luò)的管理功能，如果沒有管理功能，很難完成網(wǎng)絡(luò)防毒的任務(wù)。只有管理與防范相結(jié)合，才能保證系統(tǒng)正常運(yùn)行。

計(jì)算機(jī)病毒的預(yù)防在于完善操作系統(tǒng)和應(yīng)用軟件的安全機(jī)制。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，僅用單機(jī)防殺病毒產(chǎn)品已經(jīng)難以清除網(wǎng)絡(luò)病毒，必須有適用于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒產(chǎn)品。為實(shí)現(xiàn)計(jì)算機(jī)病毒的防治，可在辦公自動化網(wǎng)絡(luò)系統(tǒng)上安裝網(wǎng)絡(luò)病毒防治服務(wù)器，并在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)病毒防治軟件，在單機(jī)上安裝單機(jī)環(huán)境的反病毒軟件。安裝網(wǎng)絡(luò)病毒防治服務(wù)器的目標(biāo)是以實(shí)時作業(yè)方式掃描所有進(jìn)出網(wǎng)絡(luò)的文件。本地網(wǎng)絡(luò)與其它網(wǎng)絡(luò)(包括I1}1ITR1V}1''''和各種局域網(wǎng))間的數(shù)據(jù)交換、本地網(wǎng)絡(luò)工作站與服務(wù)器間

的數(shù)據(jù)交換、本地網(wǎng)絡(luò)各工作站之間的數(shù)據(jù)交換都要經(jīng)過網(wǎng)絡(luò)病毒防治服務(wù)器的檢測與過濾，這樣就保證了網(wǎng)絡(luò)病毒的實(shí)時查殺與防治。

3.5數(shù)據(jù)恢復(fù)

辦公自動化系統(tǒng)數(shù)據(jù)遭到破壞之后，其數(shù)據(jù)恢復(fù)程度依賴于數(shù)據(jù)備份方案。

數(shù)據(jù)備份的目的在于盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有:實(shí)時高速度、大容量自動的數(shù)據(jù)存儲、

備份與恢復(fù);定期的數(shù)據(jù)存儲、備份與恢復(fù);對系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用，也在人侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。

4.結(jié)束語

隨著企業(yè)各部門之間、企業(yè)和企業(yè)之間、國際間信息交流的日益頻繁，辦公自動化網(wǎng)絡(luò)的安全問題已經(jīng)提到重要的議事日程上來，一個技術(shù)上可行、設(shè)計(jì)上合理、投資上平衡的安全策略已經(jīng)成為成功的辦公自動化網(wǎng)絡(luò)的重要組成部分。

參考文獻(xiàn)

1.吳阿亭.如何設(shè)里一個可幸的防火琦系統(tǒng)保護(hù)公司內(nèi)部網(wǎng)絡(luò).中國Linux論壇

2郎銳.非法探取密碼的原理及防范

3.岳樹民，杜立群.計(jì)算機(jī)信息系統(tǒng)安全環(huán)境的五大管理要素

第9篇：公司網(wǎng)絡(luò)安全措施范文

關(guān)鍵詞：安全技術(shù)；企業(yè)集團(tuán)；企業(yè)管理系統(tǒng)；虛擬專用網(wǎng)技術(shù)

在當(dāng)前企業(yè)管理系統(tǒng)建設(shè)大踏步向前邁進(jìn)的過程中，隨之而產(chǎn)生的問題也越來越亟待解決，企業(yè)管理系統(tǒng)的安全便是首要問題。比如計(jì)算機(jī)病毒的傳播更是安全性的巨大威脅之一，病毒一旦發(fā)作，輕則破壞文件、損害系統(tǒng)，重則造成網(wǎng)絡(luò)癱瘓。某某企業(yè)集團(tuán)正是在此背景下對本企業(yè)的企業(yè)管理系統(tǒng)進(jìn)行重新設(shè)計(jì)和實(shí)施的。

1 項(xiàng)目背景與目標(biāo)

1.1 項(xiàng)目背景

某某集團(tuán)是某某市重點(diǎn)民營高科技企業(yè)之一，該公司以工業(yè)產(chǎn)業(yè)為主，主業(yè)突出，年銷售額近2億元，年利潤2000萬元左右，上繳利稅1300萬元，企業(yè)目前在職人員1300余人。該公司以生產(chǎn)氣霧劑為主，伴以各種小規(guī)格的相關(guān)器材的出口等。整個市場較為穩(wěn)定，每年除30%—40%出口外，其他產(chǎn)品主要是在上海及周邊地區(qū)銷售，在南京、武漢、北京、上海、美國等地設(shè)有公司或分支機(jī)構(gòu)。2008年度集團(tuán)投資1000多萬元，將內(nèi)網(wǎng)的企業(yè)管理系統(tǒng)遷移到外網(wǎng)，并實(shí)現(xiàn)與集團(tuán)屬各下屬企業(yè)進(jìn)行業(yè)務(wù)在線交換。為實(shí)現(xiàn)此功能，首先要實(shí)現(xiàn)與各企業(yè)網(wǎng)絡(luò)的互聯(lián)互通并確保信息傳輸?shù)陌踩Ｃ苄院屯暾浴?/p>

1.2 系統(tǒng)安全分析

該集團(tuán)企業(yè)的網(wǎng)絡(luò)管理系統(tǒng)中內(nèi)網(wǎng)與外網(wǎng)完全物理隔離，其中內(nèi)網(wǎng)自成體系，不與任何外部系統(tǒng)交互，相對安全，信息不容易泄漏，但同時該網(wǎng)也成了一個信息孤島，與外部系統(tǒng)的數(shù)據(jù)交換很不方便。不過在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，外網(wǎng)網(wǎng)絡(luò)安全幾乎是不設(shè)防，可能存在的主要安全風(fēng)險如下：(1)網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)自身安全風(fēng)險：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?，是整個網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證。尤其是核心層的三層交換機(jī)，單點(diǎn)故障的風(fēng)險比較大，萬一出現(xiàn)故障整個網(wǎng)絡(luò)將完全癱瘓。(2)網(wǎng)絡(luò)層有效的訪問控制的風(fēng)險：網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來控制網(wǎng)絡(luò)元素間的互訪能力，避免網(wǎng)絡(luò)濫用，同時實(shí)現(xiàn)安全風(fēng)險的有效隔離，把安全風(fēng)險隔離在相對比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。(3)網(wǎng)絡(luò)攻擊行為檢測和防范的風(fēng)險：由于TCP/IP協(xié)議的開放特性，帶來了非常大的安全風(fēng)險，常見的有IP地址竊取、IP地址假冒、網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊等；由于Internet的開放性，對企業(yè)管理系統(tǒng)的安全造成了威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等。

2 系統(tǒng)安全解決方案

本方案主要是遵循事前防范、事中監(jiān)控、事后審計(jì)的思想進(jìn)行設(shè)計(jì)，同時結(jié)合其他傳統(tǒng)的網(wǎng)絡(luò)安全措施，提出一套新型的基于多項(xiàng)技術(shù)的安全企業(yè)管理網(wǎng)絡(luò)系統(tǒng)解決方案。

2.1 訪問控制

訪問控制是最基本的安全措施之一，隨著網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜程度的不斷增加，應(yīng)用系統(tǒng)的不斷增多，人們已經(jīng)逐漸認(rèn)識到保護(hù)網(wǎng)上敏感資源的重要性，而舊的訪問控制技術(shù)有著諸多的管理弊端，已經(jīng)不能滿足用戶的要求，因此需要尋求一種有效的手段或方法。本系統(tǒng)采用大安全域隔離。首先把外網(wǎng)劃分為內(nèi)外安全域兩大區(qū)域，即核心數(shù)據(jù)域與辦公區(qū)域，中間用物理網(wǎng)閘隔離，使得核心數(shù)據(jù)域與辦公區(qū)域物理隔離，辦公區(qū)域中的客戶端要訪問核心數(shù)據(jù)域中的應(yīng)用，數(shù)據(jù)內(nèi)容必須經(jīng)過嚴(yán)格過濾和擺渡交換，切實(shí)保護(hù)工作秘密的安全。

2.2 防火墻的部署

防火墻的主要思想是在內(nèi)外部網(wǎng)絡(luò)之間建立起一定的隔離，控制外部對受保護(hù)網(wǎng)絡(luò)的訪問，它通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅，只有允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和公眾網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。因此通過在該集團(tuán)辦公區(qū)域訪問互聯(lián)網(wǎng)的邊界部署一臺防火墻，既起到邏輯隔離的作用又能有效控制辦公區(qū)域和互聯(lián)網(wǎng)之間的通訊安全。為了更有效地控制辦公區(qū)域的用戶端上網(wǎng)行為，本系統(tǒng)在防火墻前面部署了一臺LINUX服務(wù)器，給防火墻前面多設(shè)置了一道天然的屏障，而且通過緩存機(jī)制間接地提高了訪問互聯(lián)網(wǎng)的速度。

2.3 入侵檢測系統(tǒng)的部署

雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問漏洞滲透到內(nèi)部網(wǎng)絡(luò)，據(jù)統(tǒng)計(jì)有70%以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員有意或無意的攻擊，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等，及時地發(fā)現(xiàn)異常地網(wǎng)絡(luò)流量或安全隱患，盡早采取措施、排查隱患，避免安全事故的進(jìn)一步擴(kuò)大。

總之，企業(yè)管理系統(tǒng)信息安全建設(shè)是一項(xiàng)復(fù)雜、龐大的工程，企業(yè)管理系統(tǒng)的安全是一項(xiàng)動態(tài)的、長期的、整體的系統(tǒng)工程，需要周密的設(shè)計(jì)和部署。在企業(yè)管理系統(tǒng)網(wǎng)絡(luò)安全體系的構(gòu)建中除了要有上述的各種技術(shù)手段，更需要嚴(yán)謹(jǐn)?shù)墓芾硎侄巍?/p>

參考文獻(xiàn)：

[1] 威特曼．信息安全原理[M]．第2版．北京：清華大學(xué)，2006：100

[2] 雪家信息安全工程技術(shù)研究中心．企業(yè)管理系統(tǒng)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn)[M]．北京：清華大學(xué)出版社，2004：27